Przejdź do treści 
Cyberbezpieczeństwo w łańcuchu dostaw: Jak ISO 27001 pomaga zarządzać ryzykiem zewnętrznym
Dlaczego łańcuch dostaw stał się jednym z głównych celów cyberataków?
Współczesne organizacje w coraz większym stopniu polegają na rozbudowanych sieciach dostawców i usługodawców, co niesie ze sobą nowe wyzwania w obszarze cyberbezpieczeństwa. Ewolucja technologiczna, w tym powszechne zastosowanie usług chmurowych, stworzyła wzajemnie połączoną sieć, gdzie każdy podmiot w łańcuchu dostaw stanowi potencjalny punkt wejścia dla cyberzagrożeń . Ataki na łańcuch dostaw stają się coraz bardziej wyrafinowane, a ich wpływ może być dalekosiężny, obejmując wiele firm jednocześnie. Właściwe zarządzanie ryzykiem w łańcuchu dostaw jest zatem kluczowe dla ochrony zasobów i utrzymania zaufania interesariuszy .
Ewolucja Ryzyk i Głośne Incydenty
Dawniej systemy IT organizacji opierały się głównie na wewnętrznych rozwiązaniach. Dziś dominują złożone ekosystemy, w których współistnieją setki, a nawet tysiące dostawców, z których każdy ma różny poziom dostępu do systemów i danych firmy . Ta fragmentacja stwarza wiele potencjalnych luk bezpieczeństwa. Przypadki takie jak atak na Target w 2013 roku, gdzie wektorem ataku był dostawca usług HVAC, czy słynny incydent SolarWinds w 2020 roku, dobitnie pokazują, jak pojedynczy, pozornie nieistotny dostawca może stać się furtką do szeroko zakrojonego naruszenia bezpieczeństwa . Incydenty NotPetya (2017) oraz ataki na Accellion (2020) i MoveIT (2023) dodatkowo podkreślają rosnącą skalę i wyrafinowanie zagrożeń, często prowadzące do wycieków danych z setek firm jednocześnie .
Jak ISO 27001 wspiera bezpieczeństwo dostawców i partnerów?
Odpowiedź Regulacyjna i Standardy – ISO 27001 w Akcji
Kolejny raz sięgamy po lekturę magazynu „Risk&Compliance”, ale tym razem w kontekście tematu cyberbezpieczeństwa w łańcuchu dostaw. I podobnie jak to zwykle czynimy odnosimy go do standardów ISO, bardzo popularnych już w naszej przestrzeni biznesowej narzędzi organizacyjnych, które wspierają ten obszar.
Wzrost liczby incydentów związanych z łańcuchem dostaw skłonił organy regulacyjne i instytucje ustalające standardy technologiczne do wzmożonej uwagi na to zagadnienie . Chociaż tradycyjnie regulacje nie narzucały szczegółowych wymagań w zakresie cyberbezpieczeństwa, trend ten ulega zmianie, z coraz większym naciskiem na due diligence i nadzór nad ryzykami w łańcuchu dostaw .
W tym kontekście kluczowe stają się międzynarodowe standardy takie jak ISO/IEC 27001 oraz ISO/IEC 27036-1. ISO 27001 stanowi wiodący standard dla systemów zarządzania bezpieczeństwem informacji, zapewniając kompleksowe ramy do ustanawiania, wdrażania i ciągłego doskonalenia cyberbezpiecznej organizacji. Kontrole zawarte w Załączniku A normy ISO 27001 (np. A.5.19 „Relacje z dostawcami”) obejmują potrzebę oceny i monitorowania postawy bezpieczeństwa dostawców oraz stosowania zabezpieczeń kontraktowych .
Z kolei ISO/IEC 27036-1 koncentruje się specifically na bezpieczeństwie informacji w relacjach z dostawcami, określając architekturę i wysokopoziomowe wymagania dotyczące zarządzania ryzykami bezpieczeństwa informacji w całym cyklu życia relacji z dostawcami, od należytej staranności i wyboru po bieżące monitorowanie i zakończenie współpracy. Jest to standard stworzony specjalnie z myślą o ryzykach stron trzecich i łańcucha dostaw, które są tak wyraźnie podkreślane w kontekście cyberbezpieczeństwa. Razem, ISO/IEC 27001 w połączeniu z serią ISO 27036 oferuje kompleksowe ramy najlepszych praktyk do identyfikacji, oceny i łagodzenia ryzyka cyberbezpieczeństwa nieodłącznego w dzisiejszych złożonych globalnych łańcuchach dostaw, które mają zapewniać ciągłość działania.
Budowanie Efektywnych Programów Zarządzania Ryzykiem
Jak ocenić ryzyko dostawcy w praktyce?
Efektywne programy zarządzania ryzykiem w łańcuchu dostaw wymagają ustanowienia struktur zarządzania, które równoważą cyberbezpieczeństwo z celami biznesowymi . Proces ten powinien rozpoczynać się od oceny ryzyka i należytej staranności, klasyfikując dostawców na podstawie potencjalnego wpływu na działalność i bezpieczeństwo danych . Dostawcy o wyższym ryzyku powinni podlegać bardziej kompleksowym analizom, w tym szczegółowym kwestionariuszom i przeglądom dokumentacji, a także mogą być zobowiązani do przedstawienia certyfikatów zgodności, takich jak raporty SOC (System and Organization Controls) czy wyniki testów penetracyjnych .
Kwestie kontraktowe odgrywają kluczową rolę po wybraniu dostawcy. Umowy powinny zawierać szczegółowe zabezpieczenia cyberbezpieczeństwa, postanowienia dotyczące powiadamiania o incydentach, wymagań dotyczących ciągłości działania, prawa do audytu, zarządzania podwykonawcami oraz alokacji ryzyka, np. poprzez klauzule odszkodowawcze . Ważne jest, aby te postanowienia były dostosowane do zidentyfikowanych ryzyk, a nie stanowiły standardowego szablonu .
Ciągłe monitorowanie postawy bezpieczeństwa dostawców jest również niezbędne, ponieważ jednorazowa ocena w momencie onboardingu nie jest wystarczająca w szybko zmieniającym się środowisku zagrożeń . Organizacje powinny również przygotować się na reagowanie na incydenty cyberbezpieczeństwa w łańcuchu dostaw, tworząc specjalne „scenariusze działań” (playbooki), które uwzględniają specyfikę takich zdarzeń, np. odłączenie się od dostawcy czy użycie alternatywnych rozwiązań .
Najczęstsze błędy w zarządzaniu cyberbezpieczeństwem dostawców
W wielu organizacjach nadzór nad dostawcami kończy się na weryfikacji certyfikatu ISO 27001 lub podpisaniu NDA. To niewystarczające. Najczęstsze błędy obejmują brak klasyfikacji dostawców według krytyczności, brak formalnych wymagań bezpieczeństwa w umowach, rzadkie lub żadne weryfikacje powdrożeniowe oraz brak reakcji na incydenty po stronie partnera.
Innym typowym problemem jest niepowiązanie łańcucha dostaw z analizą ryzyka ISMS oraz nieprzeprowadzanie regularnych przeglądów bezpieczeństwa, co znacząco osłabia kontrolę nad dostawcami i usługami chmurowymi.
Powiązanie z normami ISO 27036 i NIS2
ISO 27001 nakłada obowiązek zarządzania ryzykiem dostawców, ale to ISO 27036 rozwija ten temat w praktyczną metodykę oceny, kontroli i nadzoru nad usługami zewnętrznymi. Uzupełnieniem są wymagania NIS2, które nakazują stosowanie zasad SCRM w podmiotach kluczowych i ważnych.
Ujęcie łańcucha dostaw w ISMS zgodnym z ISO 27001 i ISO 27036 pozwala udowodnić, że organizacja faktycznie nadzoruje ryzyko dostawców, a nie tylko formalnie wymaga certyfikatów.
Checklista bezpieczeństwa dostawcy (SCRM)
Checklista bezpieczeństwa dostawcy zgodna z ISO 27001 i ISO 27036
Klasyfikacja dostawcy pod kątem krytyczności usługi.
Ocena wpływu na dane, systemy i procesy krytyczne.
Wymagania bezpieczeństwa opisane w umowie/SLA.
Prawo do audytu i obowiązek raportowania incydentów.
Procedura onboardingu i offboardingu dostawcy.
Stały monitoring poziomu bezpieczeństwa.
Weryfikacja podwykonawców (łańcuch 2. i 3. rzędu).
Regularne przeglądy ryzyka i aktualizacja wymagań.
Podsumowanie
Zarządzanie ryzykiem w łańcuchu dostaw stanowi krytyczny element nowoczesnego cyberbezpieczeństwa. W miarę ewolucji cyberzagrożeń, organizacje, które priorytetowo traktują zarządzanie ryzykiem stron trzecich, będą lepiej przygotowane do ochrony swoich zasobów i utrzymania zaufania interesariuszy. Inwestycja w kompleksowe programy zarządzania ryzykiem dostawców powinna być postrzegana nie jako obciążenie związane ze zgodnością, ale jako strategiczny imperatyw dla długoterminowego sukcesu biznesowego, szczególnie w świetle rosnącej roli standardów takich jak ISO 27001 i ISO 27036-1 w kształtowaniu bezpiecznych relacji z dostawcami.
Bibliografia:
- Risk&Compliance -04-06’2025 – https://riskandcompliancemagazine.com/apr-jun-2025-issue
- ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection — Information security management systems — Requirements: https://www.iso.org/standard/27001
- Certyfikacja ISO 27001 – https://coe.biz.pl/uslugi/centrum-certyfikacji-qscert/iso-27001-certyfikacja/
- ISO/IEC 27036-1:2021 – Cybersecurity — Supplier relationships
Part 1: Overview and concepts; https://www.iso.org/standard/82905.html
FAQ: Cybersecurity w łańcuchu dostaw: Jak ISO 27001 pomaga zarządzać ryzykiem zewnętrznym?
Dlaczego łańcuch dostaw jest dziś jednym z głównych źródeł ryzyka cyber?
Im bardziej firma polega na zewnętrznych dostawcach (chmura, SaaS, outsourcerzy IT, integratorzy, partnerzy logistyczni), tym więcej punktów wejścia ma potencjalny napastnik. Atak przez dostawcę może ominąć część Twoich własnych zabezpieczeń i jednocześnie dotknąć wielu organizacji.
Przykłady incydentów takich jak SolarWinds, NotPetya czy ataki na platformy wymiany plików pokazały, że słaby element w łańcuchu dostaw potrafi uruchomić efekt domina. Stąd rosnące regulacyjne i biznesowe oczekiwania dotyczące due diligence i nadzoru nad dostawcami.
Jak ISO/IEC 27001 pomaga zarządzać ryzykiem w relacjach z dostawcami?
ISO/IEC 27001 wymaga, aby ryzyka związane z dostawcami były identyfikowane, oceniane i traktowane jak integralna część systemu zarządzania bezpieczeństwem informacji. Kontrola A.5.19 („Relacje z dostawcami”) oraz inne kontrole w Załączniku A ukierunkowują na wymagania kontraktowe, monitorowanie poziomu bezpieczeństwa i prawo do audytu.
W praktyce oznacza to, że wymagania bezpieczeństwa są definiowane jeszcze przed wyborem dostawcy, a następnie wpisywane do umów, SLA, polityk bezpieczeństwa i procedur odbioru usług. Dostawca staje się częścią Twojego ISMS – nie „czarną skrzynką” poza systemem.
Czym uzupełnia to ISO/IEC 27036? Czy warto się nim przejmować jako „zwykły” klient?
Seria ISO/IEC 27036 jest wyspecjalizowanym rozszerzeniem ISO/IEC 27001, skoncentrowanym wyłącznie na bezpieczeństwie w relacjach z dostawcami. Pokazuje, jak budować wymagania, klasyfikować dostawców według ryzyka, projektować zapisy umowne i prowadzić nadzór w całym cyklu życia relacji.
Dla organizacji, która korzysta z wielu dostawców ICT (w tym chmury), ISO/IEC 27036 daje gotowy szkielet pytań kontrolnych, zapisów kontraktowych i mechanizmów monitoringu. Ułatwia przejście od intuicyjnego wyboru dostawcy do profesjonalnego, opartego na ocenie ryzyka i mierzalnych kryteriach bezpieczeństwa.
Czy posiadanie certyfikatu ISO/IEC 27001 przez dostawcę wystarczy, aby uznać go za „bezpiecznego”?
Certyfikat ISO/IEC 27001 jest ważnym sygnałem, że dostawca ma systemowy i audytowany sposób zarządzania bezpieczeństwem informacji. To jednak nie zwalnia z obowiązku własnej oceny ryzyka. Należy weryfikować, jak zakres certyfikacji odnosi się do usług, z których korzystasz, jaki jest jego realny zakres (Statement of Applicability) oraz jak dostawca reaguje na incydenty.
Dojrzałe podejście polega na połączeniu: certyfikaty + kwestionariusze bezpieczeństwa + wymogi umowne + monitorowanie bieżące (np. incydenty, zmiany w usłudze). Certyfikat jest punktem startu, nie końcem due diligence.
Jak włączyć ryzyka łańcucha dostaw do naszego ISMS zgodnego z ISO/IEC 27001?
Praktycznie: tworzysz klasyfikację dostawców według krytyczności (wpływ na dane, usługi, dostęp do systemów), dla klas o wyższym ryzyku definiujesz wymagania bezpieczeństwa, proces oceny i monitoringu, a następnie mapujesz te elementy na konkretne kontrole z Załącznika A (np. A.5.19, A.8.x).
Następnie wprowadzasz to do cyklu PDCA: regularne przeglądy, aktualizacja wymagań, reakcja na incydenty i zmiany w relacjach z dostawcami. Dzięki temu łańcuch dostaw staje się spójnym elementem Twojego ISMS, a nie „dodatkiem” obok systemu.